Organizasyonlar bilgi sistemleri ve verileri için birçok tehditle karşı karşıyadır. Siber güvenliğin tüm temel unsurlarını anlamak, bu tehditleri karşılamanın ilk adımıdır.

Siber güvenlik, bilginin bütünlüğünü, gizliliğini ve kullanılabilirliğini (ICA) sağlama pratiğidir. Sabit sürücü arızaları veya elektrik kesintileri gibi kazalardan ve rakiplerin saldırılarına karşı savunma ve kurtarma becerisini temsil eder.

İkincisi senaryo çocuklarından hackerlara ve gelişmiş kalıcı tehditler (APT’ler) yürütebilecek suçlu gruplara kadar herkesi içeriyor ve bunlar şirket için ciddi tehditler yaratıyor.

İş sürekliliği ve felaket kurtarma planlaması, siber güvenlik için uygulama ve ağ güvenliği açısından kritik öneme sahiptir.

Güvenlik, kurum genelinde akılda olmalı ve üst yönetimden bir görevli ile birlik içinde olmalıdır.

Şu anda yaşadığımız bilgi dünyasının kırılganlığı, güçlü siber güvenlik kontrolleri gerektiriyor. Yönetim, tüm sistemlerin belirli güvenlik standartlarına göre oluşturulduğunu ve çalışanların uygun şekilde eğitildiğini görmelidir. Örneğin, tüm kodların hataları vardır ve bu hataların bazıları güvenlik kusurlarıdır. Her şeyden önce geliştiriciler sadece insan.

Siber güvenlik nedir? Siber güvenlik stratejisi nasıl oluşturulur?

Güvenlik eğitimi

İnsan her zaman siber güvenlik programındaki en zayıf unsurdur. Geliştiricilerin güvenli bir şekilde kodlanmasına yönelik eğitim, güçlü bir güvenlik duruşuna öncelik vermek için eğitim operasyon personelini eğitin, son kullanıcılara phishing e-postalarını ve sosyal mühendislik saldırılarını tespit etmeye yönlendirin – siber güvenlik farkındalıkla başlar.

Güçlü kontroller olsa bile tüm şirketler bir tür siber saldırı yaşayacaklar…

Saldırgan her zaman en zayıf bağlantıyı kullanır ve çoğu zaman “siber hijyen” olarak adlandırılan temel güvenlik görevlerini yerine getirerek birçok saldırı kolayca önlenebilir. Cerrah hiçbir zaman ellerini yıkamadan ameliyathaneye girmeyecektir. Benzer şekilde, bir işletmenin, güçlü kimlik doğrulama uygulamalarının sürdürülmesi ve hassas verilerin açık bir şekilde erişilebildiği depolama gibi siber güvenlik bakımının temel unsurlarını yerine getirme görevi ve önceliği vardır.

İyi bir siber güvenlik stratejisinin, bu temellerin ötesine geçmesi gerekiyor…Sofistike bilgisayar korsanları, çoğu savunmayı atlatabilir ve saldırı yüzeyi – bir saldırganın bir sisteme giriş yapabilmesinin yolu veya “vektörleri” sayısı, çoğu şirket için genişliyor. Örneğin, bilgi ve fiziksel dünya bir araya geliyor ve suçlular ve ulus devlet casusları artık araba, enerji santralleri, tıbbi cihazlar, hatta IoT buzdolabınız gibi siber-fiziksel sistemlerin ICA’sını tehdit ediyor. Benzer şekilde, bulut bilişimine yönelik eğilimler, iş yerinizde kendi cihazınızı (BYOD) politikalarınızı getiriyor ve işlerin (IoT) gelişmekte olan interneti yeni zorluklar yaratıyor. Bu sistemleri savunmak hiç bu kadar önemli olmamıştı.

Siber güvenliğin daha da karmaşık hale getirilmesi, tüketici mahremiyetinin etrafındaki düzenleyici iklimdir. Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) gibi sıkı düzenleyici çerçevelere uygunluk, kuruluşların GSYİH ve diğer düzenlemelerin gizlilik ve güvenlik görevlerini yerine getirmelerini sağlamak için yeni türden roller de talep etmektedir.

Sonuç olarak, siber güvenlik uzmanları için artan talep, nitelikli adaylarla pozisyonları doldurmak için mücadele eden yöneticileri işe alıyor. Bu mücadele, organizasyonların en büyük risk alanlarına keskin bir şekilde odaklanmasını gerektirir.

Siber güvenlik türleri

Siber güvenliğin kapsamı geniş. Çekirdek alanlar aşağıda açıklanmıştır ve iyi bir siber güvenlik stratejisi bunların hepsini dikkate almalıdır.

Kritik altyapı

Kritik altyapı, elektrik şebekesi, su arıtma, trafik ışıkları ve hastaneler de dahil olmak üzere toplumun dayandığı siber-fiziksel sistemleri içerir. Bir santralin internete sokulması, örneğin, siber saldırılara karşı savunmasız hale getirir. Kritik altyapıdan sorumlu kuruluşlar için çözüm, güvenlik açıklarını anlamak ve bunlara karşı korumak için gereken özeni göstermektir. Diğer herkes, bağımlı oldukları kritik altyapıya yönelik bir saldırının onları nasıl etkileyebileceğini değerlendirmeli ve ardından bir acil durum planı geliştirmelidir.

Ağ güvenliği

Ağ güvenliği, izinsiz girişlere ve kötü niyetli içerideki kişilere karşı koruma sağlar. Ağ güvenliğinin sağlanması sık sık takas gerektirir. Örneğin, fazladan girişler gibi erişim kontrolleri gerekli olabilir, ancak verimliliği yavaşlatabilir.

Ağ güvenliğini izlemek için kullanılan araçlar çok fazla veri üretiyor – çoğu zaman geçerli uyarılar kaçırılıyor. Ağ güvenliği izlemesinin daha iyi yönetilmesine yardımcı olmak için güvenlik ekipleri, anormal trafiği işaretlemek ve tehditleri gerçek zamanlı olarak uyarmak için giderek artan oranda makine öğrenimini kullanıyor.

Bulut güvenliği

İşletmenin buluta geçişi yeni güvenlik sorunları yaratıyor. Örneğin, 2017, kötü yapılandırılmış bulut örneklerinden neredeyse haftalık veri ihlallerini gördü. Bulut sağlayıcılar, kurumsal kullanıcıların verilerinizi daha iyi bir şekilde güvence altına almasına yardımcı olacak yeni güvenlik araçları oluşturuyor, ancak alt satırda kalanlar: Siber güvenliğe gelince, bulutta hareket etmek, durum tespiti yapmak için her derde deva değil.

Uygulama güvenliği

Uygulama güvenliği (AppSec), özellikle web uygulama güvenliği, saldırıların en zayıf teknik noktası haline geldi, ancak birkaç kuruluş tüm OWASP Top Ten web açıklarını yeterli ölçüde hafifletti. AppSec güvenli kodlama uygulamaları ile başlar ve fuzzing ve penetrasyon testleri ile artırılmalıdır.

Hızlı uygulama geliştirme ve bulutlara dağıtım, DevOps’un yeni bir disiplin olarak gelişini gördü. DevOps ekipleri tipik olarak iş gereksinimlerini güvenlik üzerinde önceliğe alır; bu, tehditlerin çoğalması göz önüne alındığında büyük olasılıkla değişecek bir odak noktasıdır.

Nesnelerin İnterneti (IoT) güvenliği

IoT, cihazlar, sensörler, yazıcılar ve güvenlik kameraları gibi çok çeşitli kritik ve kritik olmayan siber fiziksel sistemleri ifade eder. IoT cihazları sık sık güvensiz bir durumda gönderilir ve hiçbir güvenlik tehdidi içermez, yalnızca kullanıcıları için değil, aynı zamanda internette başkalarına da tehditler oluşturur, çünkü bu aygıtlar genellikle kendilerini bir botnet’in parçası bulurlar. Bu, hem ev kullanıcıları hem de toplum için benzersiz güvenlik sorunları ortaya çıkarmaktadır.

Siber tehdit türleri

Yaygın siber tehditler üç genel kategoriye ayrılır:

Gizliliğe Karşı Saldırılar: Bir hedefin kişisel bilgileri çalmak veya kopyalamak, kredi kartı sahtekarlığı, kimlik hırsızlığı veya bitcoin cüzdanlarını çalmak gibi çeşitli bahçe saldırıları dahil olmak üzere kaç tane siber saldırının başladığıdır. Ulus devlet casusları, çalışmalarının önemli bir bölümünü, siyasi, askeri veya ekonomik kazanç için gizli bilgileri elde etmek için gizlilik saldırıları yaparlar.

Dürüstlükle ilgili saldırılar: Ortak adıyla da bilinen sabotaj, dürüstlük saldırıları, bilgi veya sistemleri yozlaştırmaya, zarar vermeye veya yok etmeye ve onlara güvenen insanlara saldırmaya çalışır. Bütünlük saldırıları sübtil olabilir – buradaki bir yazım hatası, birazcık ortada – ya da bir eğik çizgi ve bir hedefe karşı sabotaj kampanyasını yakabilir. Failler, senaryo çocuklarından ulus devlete saldırganlara kadar değişebilir.

Kullanılabilirliğe İlişkin Saldırılar: Bir hedefin verilere erişmesini engellemek en sık olarak günümüzde fidye yazılımı ve hizmet reddi saldırıları şeklinde görülmektedir. Ransomware bir hedefin verilerini şifreler ve şifresini çözmek için bir fidye talep eder. Genellikle dağıtılmış hizmet reddi (DDoS) saldırısı biçimindeki bir hizmet reddi saldırısı, bir ağ kaynağını isteklerle doldurarak, kullanılabilir olmamasını sağlar.

Aşağıda bu saldırıların gerçekleştirildiği araçlar açıklanmaktadır.

Sosyal mühendislik

Saldırganlar, bir insanı hackleyebilecekleri bir bilgisayarı hacklemeyecekler. Genellikle fidye yazılımı sunmak için kullanılan sosyal olarak tasarlanmış kötü amaçlı yazılımlar, 1 numaralı saldırı yöntemidir (bir arabellek taşması, yanlış yapılandırma veya ileri düzey istismar değildir). Bir son kullanıcı, genellikle güvendikleri ve sık ziyaret ettikleri bir web sitesinden bir Truva atı programını çalıştırmaya kandırılır. Devam eden kullanıcı eğitimi, bu saldırıya karşı en iyi önlemdir.

Phishing saldırıları

Bazen birisinin şifresini çalmanın en iyi yolu onları ifşa etmek için kandırmaktır. Bu, kimlik avının olağanüstü başarısı için geçerlidir. Güvenlik konusunda iyi eğitilmiş akıllı kullanıcılar bile bir e- dolandırıcılık saldırısına uğrayabilir. Bu yüzden en iyi savunma iki faktörlü kimlik doğrulamasıdır (2FA) – çalınan bir parola, bir güvenlik görevlisi gibi ikinci bir faktör olmadan bir saldırganın veya kullanıcının telefonundaki yumuşak jetonlu kimlik doğrulayıcı uygulamasını değersiz kılar.

Gönderilmemiş yazılım

Bir saldırgan size karşı sıfır günlük bir istismar uygularsa kuruluşunuzu suçlamak zordur, ancak yamada başarısızlık durum tespiti yapmamanın birçok başarısızlığına neden olur. Bir güvenlik açığının açıklanmasından sonra aylar ve yıllar geçerse ve kuruluşunuz bu güvenlik düzeltme ekini uygulamamışsa, kendinizi ihmal suçlamalarına maruz bırakırsınız. Yama, yama, yama.

Sosyal medya tehditleri

Catfishing sadece buluşma sahnesi için değil. İnanılmaz çorap kukla hesapları, LinkedIn ağınız üzerinden yollarını açabilir. Eğer profesyonel kişilerinizin 100’ünü bilen biri işiniz hakkında bir konuşma yaparsa, bunu tuhaf düşünecek misiniz? Gevşek dudaklar gemileri batırır. Expect sosyal medya casusluk hem endüstriyel ve ulus-devlet çeşitli.

Gelişmiş kalıcı tehditler

Ulus devlet düşmanlarından bahsetmişken, kuruluşunuz onlara sahip. Şirket ağınızda birden fazla APT saklambaç oynuyorsa şaşırmayın. Bir yere, herhangi bir yere uzaktan ilginç bir şey yapıyorsanız, güvenlikli konumunuzu gelişmiş APT’lere karşı düşünmeniz gerekir. Bu yer, teknoloji alanında olduğundan daha değerli değil, değerli entelektüel mülkiyete sahip bir endüstri, pek çok suçlu ve millet çalmaya cüret etmeyecek.

Siber güvenlik kariyerleri

Güçlü bir siber güvenlik stratejisi yürütmek, doğru insanları yerinde kullanabilmenizi gerektirir. Profesyonel siber güvenlik halkına olan talep, C-paketinden, ön hatlarda çalışan güvenlik mühendislerine kadar hiç bu kadar yüksek olmamıştı. Güvenlik liderleri, şirket verilerini korumak organizasyonlar için kritik öneme sahip olduğundan, C-suite ve toplantı odalarına doğru yol alırlar. Bir baş güvenlik görevlisi (CSO) veya bilgi güvenliği yetkilisi (CISO) artık ciddi bir organizasyonun sahip olması gereken temel bir yönetim pozisyonudur.

Roller de daha uzmanlaştı. Generalist güvenlik analisti günleri hızla kayboluyor. Günümüzde bir penetrasyon test cihazı, güvenlik konusundaki duyarlılığı test etmek için uygulama güvenliğine veya ağ güvenliğine veya kimlik avı yapan kullanıcılara odaklanabilir. Olay yanıtı 7 gün 24 saat sizi görebilir. Aşağıdaki roller herhangi bir güvenlik ekibinin temelidir.

CISO’su / CSO

CISO’su bir kuruluşun IT güvenlik departmanı ve ilgili personelin işlemlerini denetleyen bir C-düzey yönetim yöneticisidir. CISO, bir kuruluşun bilgi varlıklarını korumak için strateji, operasyonlar ve bütçeyi yönetir ve yönetir.

Güvenlik analisti

Ayrıca siber güvenlik analisti, veri güvenliği analisti, bilgi sistemleri güvenlik analisti veya BT güvenlik analisti olarak da adlandırılan bu rol, genellikle şu sorumluluklara sahiptir:

• Güvenlik önlemlerini ve kontrollerini planlayın, uygulayın ve yükseltin.
• Dijital dosyaları ve bilgi sistemlerini yetkisiz erişime, değiştirmeye veya yok olmaya karşı koruyun.
• Verileri koruyun ve güvenlik erişimini izleyin.
• İç ve dış güvenlik denetimlerini yürütmek.
• Ağı yönet, saldırı tespit ve önleme sistemleri.
• Kök nedenlerini belirlemek için güvenlik ihlallerini analiz edin.
• Kurumsal güvenlik politikalarını tanımlayın, uygulayın ve sürdürün.
• Dış satıcılarla koordine güvenlik planları.

Güvenlik mimarı

İyi bir bilgi güvenliği mimarı, iş ve teknik dünyaları aşıyor. Rol, sektöre göre detaylarda değişiklik gösterebilirken, bir kuruluşun bilgisayar ve ağ güvenliği altyapısını planlamak, analiz etmek, tasarlamak, yapılandırmak, test etmek, uygulamak, desteklemek ve desteklemekle görevli üst düzey bir çalışanın görevidir. Bu, işletmeyi teknoloji ve bilgi ihtiyaçları ile ilgili kapsamlı bir bilinçle bilmeyi gerektirir.

Güvenlik mühendisi

Güvenlik mühendisi tehditlerden bir şirketin varlıklarını koruma ön saflarda olduğunu. İş, güçlü teknik, organizasyonel ve iletişim becerileri gerektirir. BT güvenlik mühendisi nispeten yeni bir iş unvanıdır. Odak noktası, BT altyapısı içinde kalite kontrolü üzerinedir. Bu, ölçeklenebilir, güvenli ve sağlam sistemleri tasarlamayı, inşa etmeyi ve korumayı içerir; operasyonel veri merkezi sistemleri ve ağları üzerinde çalışmak; organizasyonun gelişmiş siber tehditleri anlamasına yardımcı olmak ve bu ağları korumak için stratejiler yaratmaya yardımcı olmak.

J.M. Porup